Особенности JaCarta-2 SE
Сертифицировано по новым требованиям ФСБ России Надёжность и качество Дополнительный PIN-код на операцию формирования ЭП Новые механизмы разблокирования устройств Новые механизмы защиты от атак и блокирования Защита от взлома и клонирования

Сертифицировано по новым требованиям ФСБ России

Команды для встраивания криптографических функций в прикладное программное обеспечение (ПО) описаны, проверены и включены в разрешённый "белый" список безопасных (сертифицированных) команд, не допускающих криптографически опасных последствий при неправильном встраивании и использовании.

Сертификат ФСБ России № СФ/124-3956

  • Выдан на средство ЭП и СКЗИ (СКЗИ "Криптотокен 2 ЭП" в составе изделия JaCarta-2 ГОСТ).
  • Действует до 17 ноября 2023 г.
  • Классы: КС1, КС2 (автоматически обеспечивается при использовании АПМДЗ).
  • Соответствует требованиям 63-ФЗ и Приказа ФСБ России № 796 к средствам ЭП.
  • Может использоваться для формирования усиленной квалифицированной подписи.

Большинство конкурирующих продуктов не имеет "белых" списков криптографических функций и программных интерфейсов, разрешенных для встраивания в прикладное ПО.

Встраивание таких средств (не имеющих "белых" списков), фактически является созданием нового СКЗИ из компонентов другого (сертифицированного как законченное изделие).

Такая деятельность требует наличия лицензии ФСБ России на разработку шифросредств, а "сертифицированное" СКЗИ при использовании лишь части его компонентов с нарушением правил пользования сертифицированными не являются.

Надёжность и качество

Система управления качеством продукции компании сертифицирована по требованиям российского и международного стандарта менеджмента качества ГОСТ Р ИСО 9001 2011 (ISO 9001:2011) и с 2012 г. имеет соответствующие сертификаты.

Разработка и производство осуществляется в соответствии с требованиями российского военного стандарта ГОСТ РВ 15.002-2012, необходимого для участия в реализации гособоронзаказа.

Дополнительный PIN-код на операцию формирования ЭП

Устройство может быть сконфигурировано так, что при входе в систему (для строгой двухфакторной аутентификации) пользователь должен ввести один PIN-код (пользователя), а при проведении финансовых транзакций или подписании электронных документов — другой PIN-код (подписи), разрешающий формирование ЭП.

Необходимость ввода PIN-кода подписи устанавливается при создании соответствующей ключевой пары.

Такой механизм повышает безопасность, снижает вероятность ошибочных действий пользователей, что крайне важно в системах ДБО при проведении крупных сумм, в системах ЭДО при подписании важных документов, а также защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.

PUK-код

При инициализации устройства администратор может установить и сообщить пользователю специальный PUK-код для разблокирования. С его помощью пользователь сможет самостоятельно (без обращения к администратору) разблокировать своё устройство.

Одноразовый код разблокирования

Если пользователь забыл PIN-код своего устройства, то теперь он может позвонить или написать своему администратору и попросить его сгенерировать одноразовый код разблокирования устройства.

Это новый удобный и безопасный механизм.

Защита от атак на PIN-код

В первом поколении устройств (JaCarta ГОСТ, eToken ГОСТ) если Администратор забывал, не устанавливал или случайно блокировал свой PIN-код, сбросить забытый PIN-код пользователя было нельзя, и такое заблокированное устройство можно было выбрасывать.

В новом поколении устройств (JaCarta-2 SE) PIN-код администратора заменён ключом администратора безопасности — случайно или умышленно заблокировать токен теперь нельзя.

Забытый PIN-код пользователя Администратор теперь всегда может сбросить с использованием сертифицированного АРМа администратора безопасности JaCarta-2 SE. При этом все данные (объекты, файлы, PIN- и PUK-коды и др.) будут удалены, а устройство JaCarta-2 SE можно будет вернуть в эксплуатацию.

Защита от блокирования устройства

Обычно все токены и смарт-карты блокируются после ввода заданного количества неверных значений PIN-кода – это их нормальное поведение для защиты от атак на PIN-код методом перебора.

Для защиты от DoS-атак на PIN-коды в новом устройстве JaCarta-2 SE реализован автоматический сброс счётчиков попыток ввода неверного PIN- и PUK-кодов через установленный промежуток времени, после которого пользователю будет достаточно просто ввести правильное значение PIN-кода.

Эти механизмы кардинально решают проблему разблокирования устройств и атак на PIN-коды.

Все конкурирующие аналоги подвержены атаке со сменой PIN-кода на случайное значение, приводящей к блокированию устройства и выводу его из строя.

Защита от взлома и клонирования

Все устройства JaCarta-2 SE:

  • выполнены на базе защищённых смарт-карточных чипов, имеющих встроенные средства защиты от всех известных атак, методов взлома и клонирования, прошедших сертификацию в международных лабораториях по CAST и EMV (по требованиям для платёжных систем);
  • полностью соответствуют международным требованиям к устройствам для создания усиленной квалифицированной ЭП (Qualified Signature Creation Device в соответствии с документом "Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС №910/2014").

Многие конкурирующие российские продукты выполнены на базе микроконтроллеров общего назначения, не имеющих специальных средств противодействия взлому и клонированию, поэтому пользователи таких устройств подвержены серьёзным рискам.